3月27日Mozilla基金會發布資安公告,指出Windows版Firefox瀏覽器存在重大層級的沙箱逃逸漏洞CVE-2025-2857,他們發布了Firefox 136.0.4、ESR 128.8.1、ESR 115.21.1修補。
針對這項漏洞的發現,起因與之前Google修補的Chrome沙箱逃逸漏洞CVE-2025-2783(CVSS風險評為8.3分)有關,Firefox開發人員在處理程序通訊(IPC)程式碼發現類似的弱點,一旦子處理程序遭到入侵,就有可能導致母處理程序無意間回傳強大的控制程式碼(handle),從而導致沙箱逃逸。
Mozilla特別提及CVE-2025-2783已有實際攻擊行動出現的情況,因此CVE-2025-2857也相當值得留意。此外,這兩個漏洞也都只影響Windows版本的瀏覽器,Mozilla指出其他平臺的Firefox不受影響。
